Il system prompt completo di Claude Code è stato estratto e pubblicato. Cosa c'è scritto, perché non è un rischio di sicurezza e cosa insegna a chi costruisce agenti AI.
A fine marzo 2026, il system prompt completo di Claude Code, l'agente AI di Anthropic per lo sviluppo software, è stato estratto e pubblicato online. Nel giro di poche ore è diventato uno dei documenti più discussi nella comunità degli sviluppatori AI.
Non si tratta di un exploit tecnico né di una violazione di dati sensibili. È una finestra rara e inaspettata sull'ingegneria interna di uno degli strumenti AI più usati dai developer professionali.
Il leak consiste nel system prompt completo che Anthropic inietta in Claude quando viene usato tramite Claude Code. Questo documento, diverse migliaia di parole, definisce in modo estremamente dettagliato come l'agente deve comportarsi: come usare gli strumenti a sua disposizione, come gestire i file, come rispondere alle richieste potenzialmente rischiose, come bilanciare autonomia e cautela.
È il documento che trasforma il modello base Claude in un agente specializzato per il coding. È, a tutti gli effetti, il manuale operativo dell'agente.
Leggendo il documento emergono alcune scelte di design che vale la pena analizzare.
Leggi anche
Sviluppo di agenti AI personalizzati: cosa possiamo costruire per la tua azienda
La separazione tra azioni reversibili e irreversibili. Una delle linee guida centrali del system prompt riguarda il diverso trattamento delle azioni a seconda del loro impatto potenziale. Leggere un file, eseguire un test, creare un file in una cartella temporanea: operazioni a basso rischio che l'agente può fare senza chiedere conferma. Eliminare file, fare push su repository remoti, modificare configurazioni di sistema: operazioni che richiedono esplicita autorizzazione dell'utente. Questa asimmetria è progettata, e il leak la rende trasparente.
La gestione del tono e del registro. Il system prompt contiene istruzioni specifiche su come Claude Code deve comunicare: risposte brevi e dirette, senza ripetere quello che l'utente ha già detto, senza prefissi ridondanti come "Certo!" o "Assolutamente!". È una scelta deliberata di anti-verbosità che chiunque abbia usato il tool ha probabilmente apprezzato senza sapere che era programmata.
Le regole di sicurezza su attività sensibili. Una sezione dedicata descrive come l'agente deve gestire richieste che riguardano sicurezza informatica, codice potenzialmente malevolo o operazioni di sistema rischiose. Le istruzioni non sono un semplice "rifiuta sempre" ma una logica sfumata che distingue tra contesti legittimi (testing, ricerca difensiva, CTF) e richieste che non hanno giustificazione ragionevole.
Il sistema di memoria a file. Il leak rivela anche la struttura del sistema di memoria persistente di Claude Code: il modo in cui l'agente legge e scrive file CLAUDE.md per mantenere contesto tra sessioni diverse. Una parte non banale del system prompt descrive questa architettura e le regole per usarla correttamente.
Anthropic pubblica documentazione tecnica su Claude Code, ma il system prompt completo non era mai stato reso disponibile. La ragione è comprensibile: rendere pubblica la struttura esatta delle istruzioni di comportamento rende teoricamente più semplice aggirare le protezioni del sistema in modo mirato.
Nella pratica, il rischio concreto è limitato. I modelli di linguaggio moderni non sono vulnerabili alle iniezioni di prompt nel modo in cui i sistemi informatici tradizionali sono vulnerabili agli exploit. E Anthropic, come tutti i lab AI di frontiera, già assume che i propri system prompt possano essere estratti: la sicurezza non si basa sul loro segreto.
Il vero valore del documento è opposto: è una risorsa educativa di altissimo livello per chiunque stia costruendo agenti AI propri.
Se state costruendo un agente AI per automatizzare processi aziendali, gestire workflow o integrare LLM nei vostri sistemi, il system prompt di Claude Code è uno dei migliori esempi disponibili di come si progetta il comportamento di un agente in modo professionale.
Le lezioni principali:
1. Le istruzioni di comportamento sono ingegneria, non testo. Il documento di Claude Code non è una lista di regole scritte in fretta. È una specifica strutturata con priorità chiare, gestione dei casi limite e una logica di fallback coerente. Scrivere un system prompt di qualità richiede lo stesso rigore con cui si progetta un'API.
2. La sicurezza va costruita nel comportamento, non solo nei filtri. Claude Code non blocca le richieste rischiose con un semplice pattern matching. Ragiona sul contesto, distingue i casi d'uso legittimi da quelli problematici, chiede conferma quando necessario. È un approccio molto più robusto di una lista di keyword vietate.
3. L'esperienza utente è una scelta di design esplicita. Le istruzioni su tono, lunghezza delle risposte e formato dell'output non sono accessorie. Definiscono quanto l'agente è piacevole da usare ogni giorno, e questo ha un impatto diretto sull'adozione.
4. La trasparenza sull'autonomia crea fiducia. Sapere cosa l'agente farà da solo e cosa invece chiederà di confermare riduce l'ansia nell'affidargli compiti sensibili. Il sistema di Claude Code è progettato per essere prevedibile, e questa prevedibilità è un valore.
Il leak del system prompt di Claude Code non è una crisi di sicurezza: è una finestra su come si costruisce un agente AI serio. Il documento mostra che la differenza tra un agente utile e uno frustrante non sta nel modello sottostante, ma nella cura con cui si definisce il suo comportamento.
Per le aziende che vogliono costruire agenti AI personalizzati, integrati nei propri processi e strumenti, questo è il punto di partenza giusto: non copiare il system prompt di Anthropic, ma applicare la stessa mentalità di progettazione al proprio contesto. Se stai valutando come farlo, parlaci del tuo caso.
Questo articolo è basato sulle informazioni disponibili pubblicamente al momento della pubblicazione. Sydus non è affiliata ad Anthropic.
Tag
Domande frequenti
Cos'è un system prompt?
Il system prompt è un'istruzione testuale che viene inviata al modello AI prima di qualsiasi conversazione con l'utente. Definisce il comportamento, il tono, i limiti e i valori del modello in quel contesto specifico. Nel caso di Claude Code, il system prompt trasforma il modello base Claude in un agente specializzato nello sviluppo software, con regole precise su come usare gli strumenti, come gestire i file, come rispondere ai rischi.
Il leak di Claude Code è pericoloso per la sicurezza?
No, non in senso tecnico. Un system prompt non contiene credenziali, segreti o vulnerabilità sfruttabili. Conoscere le istruzioni di comportamento di un agente non permette di compromettere i sistemi degli utenti. Il rischio teorico è che consenta a chi vuole aggirare le protezioni di costruire prompt più mirati, ma si tratta di un rischio marginale, già tenuto in conto da Anthropic nella progettazione del modello.
Anthropic ha confermato l'autenticità del leak?
Al momento della pubblicazione di questo articolo, Anthropic non ha rilasciato una dichiarazione ufficiale sul leak. La comunità tecnica ha tuttavia largamente confermato l'autenticità del contenuto attraverso test riprodotti con istanze reali di Claude Code.
Cosa cambia per chi usa Claude Code ogni giorno?
Nulla di pratico. Claude Code continua a funzionare esattamente come prima. Per i developer che lo usano professionalmente, il leak offre invece un'opportunità interessante: capire meglio perché Claude Code si comporta in certi modi, come è strutturata la sua logica di sicurezza e come ottimizzare il proprio flusso di lavoro alla luce di questa conoscenza.
Cosa impariamo da questo episodio sulla progettazione degli agenti AI?
Che i system prompt ben scritti sono engineering a tutti gli effetti. Il documento di Claude Code mostra una struttura deliberata: priorità chiare, gestione dei casi limite, separazione tra azioni reversibili e irreversibili, tono e registro. Chiunque stia costruendo agenti AI può imparare molto da questo approccio, non solo imitando il contenuto, ma adottando la stessa mentalità di progettazione.